製品・ソフトウェアに関する情報

JVN脆弱性詳細

OctoberCMSのOctoberにおける複数の脆弱性

Title	OctoberCMSのOctoberにおける複数の脆弱性
Summary	Octoberはコンテンツ管理システム（CMS）およびウェブプラットフォームです。バージョン3.7.13未満およびバージョン4.0.0から4.1.4には、オプションのTwigセーフモード機能（CMS_SAFE_MODE）におけるサンドボックスバイパスの脆弱性が含まれていました。collect()ヘルパーの特定のメソッドが適切に制限されておらず、テンプレート編集権限を持つ認証済みユーザーがサンドボックス保護を回避できる状況でした。悪用には認証されたバックエンドアクセスとCMSテンプレート編集権限が必要であり、CMS_SAFE_MODEが有効（デフォルトは無効）になっているインストールにのみ影響しました。この問題はバージョン3.7.13および4.1.5で修正されています。この問題の回避策としては、信頼できないテンプレート編集が不要な場合、CMS_SAFE_MODEを無効化し、CMSテンプレート編集権限を完全に信頼できる管理者のみに制限することが推奨されます。
Possible impacts	当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。また、当該ソフトウェアが扱う情報について、書き換えは発生しません。さらに、当該ソフトウェアは停止しません。そして、この脆弱性を悪用した攻撃により、他のソフトウェアにも影響が及ぶ可能性があります。
Solution	正式な対策が公開されています。ベンダ情報を参照して適切な対策を実施してください。
Publication Date	April 14, 2026, midnight
Registration Date	April 23, 2026, 10:15 a.m.
Last Update	April 23, 2026, 10:15 a.m.

CVSS3.0 : 警告
Score	6.8
Vector	CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N

Affected System

OctoberCMS

October 3.7.13 未満

October 4.0.0 以上 4.1.5 未満

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-22692	https://www.cve.org/CVERecord?id=CVE-2026-22692
National Vulnerability Database (NVD)
2	CVE-2026-22692	https://nvd.nist.gov/vuln/detail/CVE-2026-22692

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-284	https://cwe.mitre.org/data/definitions/284.html
2	CWE-693	https://cwe.mitre.org/data/definitions/693.html

ベンダー情報

No	Name	URL
GitHub
1	Twig Sandbox Bypass via Collection Methods Advisory octobercms/october GitHub	https://github.com/octobercms/october/security/advisories/GHSA-m5qg-jc75-4jp6

Change Log

No	Changed Details	Date of change
1	[2026年04月23日] 掲載	April 23, 2026, 10:15 a.m.

NVD Vulnerability Information

CVE-2026-22692

Summary	October is a Content Management System (CMS) and web platform. Versions prior to 3.7.13 and versions 4.0.0 through 4.1.4 contain a sandbox bypass vulnerability in the optional Twig safe mode feature (CMS_SAFE_MODE). Certain methods on the collect() helper were not properly restricted, allowing authenticated users with template editing permissions to bypass sandbox protections. Exploitation requires authenticated backend access with CMS template editing permissions and only affects installations with CMS_SAFE_MODE enabled (disabled by default). This issue has been fixed in versions 3.7.13 and 4.1.5. To workaround this issue, users can disable CMS_SAFE_MODE if untrusted template editing is not required, and restrict CMS template editing permissions to fully trusted administrators only.
Publication Date	April 15, 2026, 2:16 a.m.
Registration Date	April 15, 2026, 11:40 a.m.
Last Update	April 22, 2026, 2:23 a.m.

Affected software configurations

Configuration1	or higher	or less	more than	less than
cpe:2.3:a:octobercms:october::::::::				3.7.13
cpe:2.3:a:octobercms:october::::::::	4.0.0			4.1.5

Related information, measures and tools

No	URL	refsource	タグ
1	https://github.com/octobercms/october/security/advisories/GHSA-m5qg-jc75-4jp6	security-advisories@github.com

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-284	不適切なアクセス制御	https://cwe.mitre.org/data/definitions/284.html
2	CWE-693	保護メカニズムの不具合	https://cwe.mitre.org/data/definitions/693.html